負載均衡體系結構中的單個SSL證書

Question

我正在進行負載平衡以及SSL證書的安全性如何與負載平衡器集成。

假設我想通過Amazon Elastic Load Balancer公開多個相同RESTful Web服務的副本。到現在爲止，所有的事情都應該很好，順利。但是，安全尚未考慮在內。

現在，假設我們希望用SSL證書保護通信，所以我們繼續購買證書。我們將擁有幾個IP地址，這些IP地址都與負載平衡器一起公開了相同的RESTful服務器。這些IP地址將全部映射到相同的域名（https://thedomain.com）。這樣，客戶端總是連接到相同的域。然後由負載平衡器重定向到獲得最少流量的Web服務。

主要問題是，這樣的體系結構是否可以使用單個SSL證書？就好像這樣，可以動態擴展服務的數量，而不必更改安全性。

Answer 1

然後由負載均衡器重定向到獲得最少流量的Web服務。

AFAIK，ELB只支持RoundRobin和Stick會話。所以你上面說的不會發生。

這樣的一個SSL證書的體系結構有可能嗎？

您可以在ELB上安裝SSL證書，並讓它執行SSL終止。 ELB和您的Web節點之間的流量將被解密。您應該探索AWS VPC，您可以在其中擁有面向公衆的ELB，並且您的Web節點將位於Private子網內。

另外，ELB支持TCP負載均衡。在這種情況下，您在Web節點上安裝證書，ELB將接受來自Internet的端口443上的流量，並將其簡單地轉發到Web節點上的端口443，其中Web節點必須執行SSL加密/解密。

希望這會有所幫助。